CISO Convergence

Desafíos Regulatorios del Sector Financiero

Editorial

En los últimos meses han surgido diversas regulaciones en el sector financiero, entre ellas, la modificación de la ley 20.009 que establece un régimen de limitación de responsabilidad para titulares o usuarios de tarjetas de pago y transacciones electrónicas en caso de extravío, hurto, robo o fraude ello a través de la ley 21.234 que reguló esa responsabilidad, la RAN 20-10 emanada del CMF y la ley 21.236 relativa a la Potabilidad Financiera. Sin duda uno de los temas que atraviesan a todas estas normas o regulaciones es la ciberseguridad, materia en la cual la ley y la autoridad sectorial empiezan a definir y a exigir un mínimo desde el cual las entidades bancarias, y también su entorno, debiera operar de cara a la protección que merecen las personas que confían en sus servicios y productos.

El desafío está planteado, y los objetivos a cumplir por las entidades financieras en materia de seguridad de la información son impuestos por la ley y la autoridad de forma cada vez más clara y precisa. Es así que, por ejemplo, la Ley 21.234 que limita la responsabilidad de los titulares o usuarios de tarjetas de pago o transacciones electrónicas en caso de extravío, hurto, robo o fraude, modificando la ley 20.009 señala que ¨ Los emisores, operadores, comercios y otros establecimientos afiliados a un sistema de tarjetas de pago, así como las demás entidades que intervengan o presten servicios asociados a pagos y transacciones electrónicas, u otros sistemas de características similares, deberán adoptar las medidas de seguridad necesarias para prevenir la comisión de los ilícitos descritos en esta ley conforme a la legislación y normativa que les resulte aplicable, y resguardando la prestación segura del respectivo servicio en los términos señalados por el artículo 23 de la ley Nº 19.496… ¨  para luego enumerar algunas medidas que deben ser consideradas como un mínimo exigible por parte de emisores u operadores según corresponda.

Por su parte la CMF (Comisión para el Mercado Financiero) emitió  el Capítulo RAN 20-10 relativo a las mejores prácticas respecto de la Gestión de la Seguridad de la Información y Ciberseguridad que comenzará a regir el 1º de diciembre del presente año. Destaca en esta normativa la responsabilidad de los directorios en la aprobación de las estrategias de ciberseguridad en sus instituciones.

La reciente entrada en vigencia de la ley 21.236 relativa a la Potabilidad Financiera, así como su Reglamento, tiene por objeto promover la portabilidad financiera, facilitando que las personas, micro y pequeñas empresas se cambien, por estimarlo conveniente, de un proveedor de servicios financieros a otro, o de un producto o servicio financiero vigente a otro nuevo contratado con el mismo proveedor. Esta ley se aplicará a proveedores de servicios financieros.

Esta norma obligará a las instituciones a iniciar procesos de transformación digital y de adecuación de sus procesos que son en modalidad papel para transformarlos a digital, por lo tanto, existirá mucha información que circulará a través de las redes y en gran medida se tratará de datos personales e información financiera de los clientes. Lo anterior obligará a las instituciones a elevar sus estándares y a tomar medidas de resguardo y a la Comisión para el Mercado Financiero a seguir estableciendo ciertas definiciones en las meterías en comento de manera de tener un proceso seguro y confiable para los clientes.

Además, es importante considerar que en el artículo 50 del Reglamento de la ley 21.236 señala que en relación al tratamiento de datos personales, se entenderá que la presentación de una solicitud de oferta de portabilidad implica el consentimiento del titular para el tratamiento de sus datos personales. Dicho tratamiento de datos deberá efectuarse en conformidad con la Ley N° 19.628 y con la exclusiva finalidad de llevar a cabo un proceso de portabilidad. Dado lo anterior los proveedores deberán implementar las medidas necesarias para garantizar la seguridad y la reserva en el tratamiento de datos, con especial resguardo respecto de los fines para los cuales fue autorizado por su titular.

CISO Convergence

CISO Convergence

Comentar

Síguenos!

Mantente conectado con nosotros a través de nuestras redes sociales.